《個人信息保護法》背景下我國檔案館網站個人信息保護研究

向宇 周文泓

摘 要：對檔案館網站個人信息保護的研究旨在助力構建網絡空間命運共同體。文章以《個人信息保護法》為參照，基于文本分析法對46個檔案館網站的個人信息保護制度展開調查，發現我國檔案館網站存在個人信息保護制度系統性不足、個人信息界定不明確、檔案館網站的信息處理權利與義務規定有限、用戶個人權利未得到充分保障的問題，并提出針對性建議。

關鍵詞：個人信息安全；檔案館網站；個人信息保護法；網絡空間

數字技術的發展推動著公共服務的升級，包括檔案館在內的記憶機構的“互聯網+” 趨勢成為必然。《“十四五”全國檔案事業發展規劃》要求推進檔案信息資源共享平臺建設，并建設全國檔案信息共享利用體系[1]，這也表明未來檔案館的建設將更多地實現和互聯網的鏈接，以檔案館網站為基礎形成的檔案網絡空間將成為檔案利用服務重要的陣地?！吨腥A人民共和國個人信息保護法》（以下簡稱“《個人信息保護法》”）實行后檔案利用與開放中的個人信息保護引起了更多討論[2]，檔案館網站用戶的個人信息是否在《個人信息保護法》框架下得到足夠、合理的保護，網站是否能夠適應未來檔案館依法治理、走向開放的現代化要求等，都需要立足互聯網場景展開仔細調查，以保障用戶的網絡空間權益，提高檔案館數字治理能力與水平，助力構建安全、開放的網絡空間命運共同體。

在有關研究方面，有學者圍繞具體情境下的檔案活動展開探討，如檔案開放、利用下的個人信息保護，并從意識、制度建設、管理機制等角度提出個人信息保護策略 [3-4]；還有學者基于檔案館網站展開調查，如從國內外檔案館網站隱私制度[5-6]、版權保護制度[7-8]，發現網站制度科學性不強[9]及個人信息識別、保護措施不足[10]等問題，從規范業務環節[11]、用戶導向[12]、加強信息技術支撐[13]等角度提出解決思路。但綜合來看，一是檔案館網站個人信息保護制度是否符合《個人信息保護法》的要求尚待進一步研究，二是缺乏對其他行業網絡平臺關于個人信息保護成功做法的吸收與借鑒。

由此，本文以新頒布的《個人信息保護法》為參照，對我國部分省、直轄市和副省級城市檔案館網站個人信息保護制度展開調查，結合其他行業互聯網平臺有關做法，提出完善我國檔案館網站個人信息保護的策略。

一、 數據收集與分析方案

本文采用文本分析法，對我國部分省、直轄市和副省級城市（不包括港澳臺地區）共46個檔案館網站展開調查，最終獲取了來自8個檔案館網站、共9項個人信息保護相關制度作為數據源。此外，選擇了涵蓋社交、短視頻、出行、購物、生活5個領域的代表性互聯網平臺進行觀察，具體包括微信、抖音、百度地圖、淘寶、美團。

分析方案為：第一，梳理《個人信息保護法》，得到與用戶相關的信息（個人信息、敏感信息）、檔案館網站的權利（處理個人信息的情形、具體行為）、檔案館網站信息處理義務（確保處理行為合規誠信、完整準確、公開透明，確保信息安全）、用戶權利（知情決定權、查閱復制權、刪除權等）四個分析維度。第二，以四個維度為依據，調查檔案館網站制度是否符合《個人信息保護法》要求，以及如何明確權利、承擔義務。第三，立足“互聯網+”趨勢下的檔案館建設，結合其他行業經驗，提出個人信息保護優化建議。

二、 調查結果

1. 檔案館網站個人信息保護的基本情況

調查涉及檔案館網站的個人信息保護制度可以分為隱私保護類協議、用戶管理類協議、功能板塊中的個人信息保護條款。調查發現，各檔案館網站對個人信息保護的程度不盡相同，具體如下：

（1）得到界定的與用戶相關的信息

調查顯示，所界定的與用戶相關的信息可分為兩種：第一，個人身份信息。如進行用戶注冊登記時的個人資料，包含姓名、性別、年齡、身份證號碼、工作單位等個人識別信息。第二，個人行為信息。如用戶在本網站瀏覽、閱讀或下載時所留下的行為記錄。

（2）檔案館網站的信息處理權利與義務

檔案館網站的信息處理權利表現為：檔案館網站可在何種情況下對用戶個人信息進行怎樣的處理。

關于檔案館網站進行個人信息處理的情形，有6個檔案館網站對此進行了說明。例如，收集個人信息的情形為：瀏覽、閱讀或下載本網站信息時，以及進行用戶注冊登記、參加活動時。關于檔案館網站具體的個人信息處理行為，調查中明確提及的包括：收集、分揀、利用、披露、公開。收集、分揀方面：有4個檔案館網站明確會收集、分揀用戶信息。利用、披露、公開方面：有5個檔案館網站表示未經用戶同意不會將個人信息提供給私人公司，且僅在政府機關依照法定程序要求檔案館網站披露信息資料情形時，向政府有關部門提供信息資料。

檔案館網站的信息處理義務表現為：檔案館網站作為信息處理者應遵循的信息處理要求與規則。

第一，確保個人信息處理行為合規誠信。檔案館網站以制度方式固化并公開其個人信息處理活動的意圖、方式等，如各檔案館網站的隱私政策、用戶注冊協議。

第二，確保個人信息處理行為公開透明。一是處理規則公開。本次所調查的《隱私保護》《個人用戶注冊協議》等均不同程度地明確了檔案館網站進行個人信息處理的規定。二是處理目的公開。檔案館網站表明其個人信息處理活動均為根據網站開辦宗旨需要或是為了城市建設和社會發展。三是處理方式公開。例如，有3個檔案館網站表明以注冊表格的方式進行個人信息收集。

第三，確保個人信息完整準確。調查中，暫無檔案館網站承諾會確保個人信息的完整與準確，但有2個檔案館網站提及用戶可對資料進行補充或更正。

第四，確保個人信息安全。一是制定保護個人信息的措施，如采用相應技術、委托專人進行保護和管理，定期對注冊用戶進行有關教育，設立網絡管理人員并明確職責。二是進行個人信息保護評估。調查表明，暫無檔案館網站提及相關內容。三是事后補救。例如，浙江檔案網有提及個人信息事故補救相關內容。

（3）用戶個人的信息處理權利與義務

用戶個人的信息處理權利方面，有2個檔案館網站制度提及包含查詢和請求閱覽、請求補充或更正、請求刪除、請求停止電腦處理及利用，且明確了個人行使權利的處理渠道為電子郵件或官方電話。

用戶個人的信息處理義務方面，在調查中，有2個檔案館網站共3項制度對個人應遵守行為有所提及，相關內容主要體現為：第一，如實、準確填寫，明確填寫虛假信息的后果。第二，由用戶自行保管賬號與密碼。第三，遵守相關原則，如遵守國家相關法律法規、不得干擾網絡用戶、不得破壞網絡服務和設備等。

2. 其他行業互聯網平臺個人信息保護基本情況

本文所調查的其他行業共5個互聯網平臺均在《個人信息保護法》出臺后對其隱私政策進行了更新。其個人信息保護的主要內容為：

第一，明確個人信息保護對象。除在平臺注冊的個人身份信息、敏感信息外，還包括用戶在平臺業務活動中涉及的個人業務信息的處理。例如，抖音明確用戶在購買商品時，其自身和第三方會收集用戶訂單信息。

第二，明確平臺權利與義務。各平臺均以專門章節形式，將平臺權利與平臺義務嵌入各種業務活動中進行表述說明。關于權利：如微信在用戶使用朋友圈功能時，會收集、使用發布的朋友圈文字、照片、視頻、位置信息、附近的WIFI信息、設備附近的基站ID評論、點贊等。關于義務：著重體現為對各應用場景下個人信息處理規則的告知，如百度地圖表明在使用停車服務時，取得用戶單獨同意后向第三方共享個人信息以完成收費。

第三，明確用戶個人的信息處理權利與義務。關于權利，均有專門的“您的權利”板塊，明確賦予用戶權利的使用情況、使用方式、個人信息權利響應機制，基本涵蓋《個人信息保護法》所明確的權利類型。例如，百度地圖賦予用戶在12種不同業務活動中查閱或清除個人信息的權限以保障查閱權。關于義務，則與檔案館網站相同。

三、 問題與不足

1. 檔案館網站個人信息保護的主要問題

調查表明，檔案館網站的個人信息保護得到了規范化指導，但仍在細節處暴露出制度不系統、規定有限等問題。主要體現為：

（1）個人信息保護制度系統性不足

第一，總體上檔案館網站個人信息保護制度保障尚需完善，目前僅少數檔案館網站明確有制度指導。第二，內容上呈現低質化與同質化傾向。大多數檔案館網站關于個人信息的保護規定僅限于：告知網站會收集與分揀信息、在適當情況下披露信息、采用相關技術保護信息安全。

未及時更新、優化網站制度及學習先進典型，將使省級、副省級城市檔案館網站的表率作用無法得到正面發揮，亦無法充分保障用戶權益。

（2）個人信息界定不明確

第一，未對個人信息范圍進行明確界定。除浙江省檔案館、寧波市檔案館網站提及了收集的個人信息具體范圍外，其他檔案館網站均籠統表述為“個人或單位信息”，對敏感信息少有提及，模糊、縮小了個人信息的內涵。第二，用戶業務信息中的個人信息未列入信息管理的范疇，無法有效識別。

有局限、不明確的個人信息指向將導致檔案館網站的信息保護制度無法充分、完全地識別保護對象，使得個人信息保護制度失效。

（3）檔案館網站的信息處理權利的規定不規范

第一，處理個人信息的情形說明不完整。檔案館網站的個人信息處理情形僅明確為取得個人同意、政府依照法定程序兩種，對于在《個人信息保護法》提及的另外情形以及未提及的其他情形，檔案館網站是否處理、如何處理還暫未進行明確。第二，個人信息處理活動的保護行為不足。一是本應明確的個人信息處理活動規定缺失，對于存儲、傳輸、刪除等行為較少提及。二是對個人信息處理活動表述過于簡化，各方在個人信息處理活動中的權利與義務模棱兩可。例如，在關于個人信息披露問題上，檔案館網站未主動提及檔案館與披露主體雙方權利與義務，易使用戶對披露主體的規范與要求模糊不清。

這導致用戶無法知曉個人信息將被以何種方式、范圍、程度進行處理，個人信息可能存在以不安全方式處理的風險。

（4）檔案館網站的信息處理義務規定有限

第一，檔案館網站個人信息保護制度缺失下的信息處理義務有限。缺少個人信息保護制度的檔案館網站，自然也無法公告、更無法完全履行個人信息保護義務。第二，檔案館網站個人信息保護制度不健全下的信息處理義務有限。例如，關于確保個人信息安全的義務，檔案館網站大多規定為“本網站將使用相應的技術，對用戶提供的資料進行嚴格管理和保護”，但細究內容，并未體現其在管理層面做出的安排與部署，以及在技術層面如何保護用戶信息。

這使得其自身與外界均無法明確其是否履職到位，是否能真正保護用戶個人信息。

（5）用戶個人權利未得到充分保障

第一，用戶權利不完整。例如，某檔案信息網提及用戶權利為查詢、更正補充、刪除與請求停止處理，這與《個人信息保護法》明確賦予個人信息主體的10余項合法權利相比，仍存在顯著不足。第二，缺乏對用戶權利全面、清晰的表述。當前僅止步于列舉權利，未對用戶權利在何種情況下行使、如何行使，以及行使該權利后的效果進行明確表述。

這將導致檔案館網站的個人信息保護體系無法良性交互，不利于維護個人信息的完整性與準確性。

2. 其他行業互聯網平臺的問題

第一，個人敏感信息處理模糊?！秱€人信息保護法》對敏感個人信息做了定義和不完全列舉的規定。而各行業主流平臺大多沒有完整列明所處理的敏感個人信息類別，均以“等”作為省略。這將導致無法準確判斷個人敏感信息是否得到妥善保護。

第二，各平臺在標準上存在不同理解。由于各行業平臺業務場景不同，其在個人信息收集、利用、分享等信息處理活動中的標準不同，部分平臺執行粗放亦將產生個人信息安全風險。例如，關于刪除權，各平臺關于刪除的主體、方式以及內容存在不同要求。

四、 檔案館網站個人信息保護的建議

本文基于以上調查分析和對其他行業互聯網平臺管理的借鑒，針對性地提出以下優化建議：

1. 堅持將個人信息保護貫穿檔案工作

對內，需將檔案館網站個人信息保護要求納入、貫穿于檔案相關工作體系，如檔案利用服務體系、檔案安全體系、檔案信息化建設中，明確在不同的檔案工作體系內，檔案館網站所面臨的個人信息保護難題、需求、目標等。

對外，需將增強檔案館與用戶的個人信息保護意識納入檔案部門的普法、執法的教育中。[14]通過檔案微信公眾號、短視頻、線下檔案館活動等更多方式進行相關知識普及，增強檔案館與用戶在個人信息保護方面的安全意識。

2. 健全個人信息保護制度體系建設

第一，逐步建立并完善以檔案利用管理服務標準為基礎原則、以檔案館網站個人信息保護制度為核心、以績效評估制度為保障的個人信息保護制度體系。具體包括：一是以《中華人民共和國檔案法》（以下簡稱“《檔案法》”）為基礎，將用戶個人信息保護納入檔案利用管理服務范疇，在原則上對檔案利用服務的要求進行規范，規定檔案館網站管理人員的權利與義務，并保障相應的業務標準、考核評價等其他配套制度有效執行。二是以《個人信息保護法》為依據，在《中華人民共和國網絡安全法》《互聯網用戶公眾賬號信息服務管理規定》等制度框架下，結合網站實際，借鑒其他行業主流互聯網平臺個人信息保護制度，建立、完善或更新檔案館網站個人信息保護制度并公開，如隱私保護類制度、用戶注冊協議等。三是建立用戶個人信息保護的績效評估制度。將檔案館網站個人信息保護納入服務端績效評估是落實“開展副省級以上綜合檔案館網站及移動服務端績效評估工作”[15]的舉措，亦是從后端倒逼個人信息保護行動的保障。應以《個人信息保護法》與《檔案法》檔案利用管理服務要求為原則，以檔案館網站專項個人信息保護制度為基礎，拆解個人信息保護要點，采用績效或量表打分等方式，對檔案館網站個人信息保護落實情況進行評估。

第二，融合多主體視角以增強制度完整性。一是推動檔案部門與司法機構合作[16]，通過合規性審查，確保制度的法律適配性與專業性。二是建立第三方檔案館網站個人信息保護監督機構并開通便捷投訴渠道。例如，騰訊官方宣布將成立“個人信息保護外部監督委員會”，并公開招募委員會委員，強化了外部監督。[17]

3. 增強檔案館網站功能與個人信息保護制度協同配合

第一，區分不同權利與義務的位列與歸屬。即該權利或義務是否應在檔案館網站功能區內實現，在具體執行層面最大程度實現網站功能與權利義務的整合，由此豐富權利行使與義務履行的方式。這要求各檔案館網站認真完善檔案館網站的專項個人信息保護制度并公開，以此作為檔案館網站功能與制度協同的基礎。

第二，在宏觀的功能框架下嵌入制度要求。即明確檔案館網站應為用戶提供哪些功能、各功能定位、功能基本要求、不同功能間的關系等，繼而考慮各權利與義務在各功能下的實現形式，最終實現檔案館網站功能與制度的協同。例如，用戶請求刪除個人身份信息、修改查檔預約中查檔描述等權利，與在制度內單一呈現相比，在檔案館網站功能區能得到最大程度的落實。如微信、抖音、支付寶等受國家相關部委合規性監管較嚴，且呈現常態化、精細化的趨勢，其平臺對個人信息保護的規定更為完善，在平臺功能實踐上經過多次更新與調整，可作為范本參考。

注釋與參考文獻

[1][15]中辦國辦印發《“十四五”全國檔案事業發展規劃》[EB/OL].[2022-05-13].https：//www.saac.gov.cn/daj/ toutiao/202106/ecca2de5bce44a0eb55c890762868683.shtml.

[2] 何凡.《個人信息保護法》在檔案開放利用中的適用與局限探析[J].檔案與建設，2022（5）：12-15.

[3]曾毅，柳麗.檔案開放中個人信息保護實踐研究[J].蘭臺世界，2021（9）：63-65.

[4] 謝小紅.民生檔案工作中個人信息權利保護問題[J].檔案學研究，2020（4）：81-86.

[5]陳忠海，常大偉.英美加澳四國國家檔案館網站隱私政策及其啟示[J].北京檔案，2015（4）：39-41.

[6][10]劉揚.英美兩國國家檔案館網站隱私政策比較研究[J].檔案，2013（5）：50-53.

[7]袁也.英美澳三國國家檔案館網站版權保護及啟示[J].北京檔案，2016（7）：38-41.

[8]武敏.檔案館網站版權政策構建芻論[J].蘭臺世界，2014（17）：37-38.

[9]孫大東，張歡笑.我國檔案網站隱私政策調查研究[J].檔案管理，2018（6）：65-68.

[11]燕雙雙，張丹.《個人信息保護法》視角下數字檔案館個人信息保護的問題與對策[J].檔案與建設，2022（8）：20-24.

[12][16]周林興，徐承來.信息安全視域下國內檔案網站隱私政策合規性研究[J].檔案學研究，2022（1）：85-91.

[13]易濤，王凱.數字時代檔案工作中個人信息保護研究——以《個人信息保護法》為中心的考察[J].浙江檔案，2022（5）：31-36.

[14]聶云霞，牟勝男.數字檔案用戶隱私風險與防控策略[J].檔案與建設，2020（7）：15-19.

[17]騰訊云開發者社區.騰訊（00700）宣布將成立“個人信息保護外部監督委員會”[EB/OL].[2023-03-16]. https：//cloud.tencent.com/developer/news/866793.